Creación de un usuario de IAM en su Cuenta de AWS
importante
Las prácticas recomendadas de IAM sugieren que exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales, en lugar de utilizar usuarios de IAM con credenciales a largo plazo. Para los casos de uso específicos no compatibles con usuarios federados, recomendamos utilizar únicamente usuarios de IAM.
El proceso para crear un usuario de IAM y habilitarlo para que realice tareas incluye los siguientes pasos:
-
Cree el usuario en el AWS Management Console, el AWS CLI, Tools for Windows PowerShell o utilizar una Operación de la API AWS. Si crea el usuario en la AWS Management Console, los pasos 1 a 4 se realizan automáticamente de acuerdo con sus preferencias. Si crea los usuarios de IAM de forma programada, debe ejecutar cada uno de los pasos de forma individual.
-
Cree las credenciales del usuario en función del tipo de acceso que este requiera:
-
Habilitar el acceso a la consola: opcional: si el usuario necesita acceder a la AWS Management Console, cree una contraseña para el usuario. Al desactivar el acceso a la consola para un usuario, se impide que inicien sesión en la AWS Management Console con su nombre de usuario y contraseña. No cambia sus permisos ni les impide acceder a la consola utilizando un rol asumido.
sugerencia
Cree solo las credenciales que necesite el usuario. Por ejemplo, en el caso de un usuario que necesite obtener acceso únicamente mediante la AWS Management Console, no cree claves de acceso.
-
-
Proporcionar al usuario permisos para realizar las tareas requeridas. Le recomendamos colocar a los usuarios de IAM en grupos y administrar los permisos mediante políticas asociadas a esos grupos. Pero también puede otorgar permisos mediante la asociación directa de políticas de permisos al usuario. Si utiliza la consola para agregar el usuario, puede copiar los permisos de un usuario existente al nuevo usuario.
También puede agregar un límite de permisos para limitar los permisos del usuario mediante una política que defina los permisos máximos que puede tener el usuario. Los límites de permisos no otorgan ningún permiso.
Para obtener instrucciones sobre cómo crear una política de permisos personalizada que se pueda utilizar para conceder permisos o establecer un límite de permisos, consulte Definición de permisos de IAM personalizados con políticas administradas por el cliente.
-
(Opcional) Añadir metadatos al usuario asociando etiquetas. Para obtener más información acerca del uso de etiquetas en IAM, consulte Etiquetas para recursos de AWS Identity and Access Management.
-
Proporcione al usuario la información de inicio de sesión necesaria. Esto incluye la contraseña y la URL de la consola de la página de inicio de sesión de la cuenta en la que el usuario proporciona esas credenciales. Para obtener más información, consulte Cómo inician sesión los usuarios de IAM en AWS.
-
(Opcional) Configure la autenticación multifactor (MFA) para el usuario. MFA requiere que el usuario proporcione un código de un solo uso cada vez que inicia sesión en la AWS Management Console.
-
(Opcional) Conceda a los usuarios de IAM permisos para administrar sus propias credenciales de seguridad. (De forma predeterminada, los usuarios de IAM no tienen permisos para administrar sus propias credenciales). Para obtener más información, consulte Autorización para que los usuarios de IAM cambien sus contraseñas.
nota
Si utiliza la consola para crear el usuario y selecciona El usuario debe crear una nueva contraseña en el siguiente inicio de sesión (recomendado), el usuario tiene los permisos necesarios.
Para obtener información sobre los permisos que necesita para poder crear un usuario, consulte Permisos obligatorios para obtener acceso a recursos de IAM.
Para obtener instrucciones sobre cómo crear usuarios de IAM para casos de uso específicos, consulte los siguientes temas:
